Cet article CERT-W Newsletter Novembre 2020 est apparu en premier sur RiskInsight.

Cet article CERT-W Newsletter Octobre 2020 est apparu en premier sur RiskInsight.

Les indicateurs du mois

Top attack – La compagnie française d’affraitement CMA CGM frappée par une attaque ransomware

Le transporteur français CMA CGM annonce avoir été touché par une attaque de type ransomware, qui a désactivé son système de réservation et affecté un certain nombre de ses bureaux chinois. Le groupe de cybercriminels RagnarLocker leur aurait demandé de les contacter dans les deux jours « via un chat en direct et de payer la clé de déchiffrement ». CMA CGM avait interrompu, par mesure de précaution, les accès externes à son réseau et à ses applications informatiques afin d’éviter la propagation du logiciel malveillant. Les opérations maritimes et portuaires, quant à elles, se sont poursuivies.

Top exploit – Zerologon: Microsoft signale des attaques

Microsoft annonce avoir détecté des attaques exploitant la faille Zerologon. Plusieurs Proof of Concept ont été publiés en ligne au cours des derniers jours. Le patch corrigeant cette importante vulnérabilité dans NetLogon est disponible depuis le mois d’août. La faille Zerologon, évaluée à une criticité de 10 sur 10 par le CVSS, permet de compromettre les contrôleurs de domaines Windows des entreprises comme Active Directory.

Top leak – Microsoft Bing subit une énorme fuite de 6.5TB de données utilisateur

La société WizCase a découvert un serveur non sécurisé contenant une vaste base de données de journaux de recherches effectuées via l’application officielle Bing. Ce serveur contenait 6,5 To de données, en hausse de 200 Go chaque jour, et était protégé par mot de passe dans le passé, mais ce dernier fut retiré durant la première semaine de septembre, laissant la possibilité à des pirates d’effectuer plusieurs attaques de type Meow.

Veille sur la cybercriminalité

Un rapport du CISA américain dévoile des détails sur les webshells utilisés par les pirates iraniens

L’Agence de Cybersécurité et Sécurité des Infrastructures américaine (CISA) a publié un MAR (Malware Analysis Report) divulguant des détails techniques sur les webshells utilisés par des cybercriminels iraniens. Selon ce rapport, ces pirates, d’un groupe APT encore non nommé, attaquent, à l’aide de plusieurs webshells connus, des entreprises gouvernementales, financières, d’assurance, d’IT et du domaine médical à travers les Etats Unis. Parmi ces malwares, on peut retrouver le ChunkyTuna, Tiny, et China Chopper.

Deux russes inculpés pour avoir dérobé 17 millions de dollars par attaque de phishing

Les autorités américaines ont annoncé des accusations criminelles et des sanctions financières contre deux hommes russes accusés d’avoir volé près de 17 millions de dollars de devises virtuelles lors d’une série d’attaques de phishing en 2017 et 2018 qui ont usurpé des sites Web pour certains des échanges de crypto-monnaie les plus populaires.

Des failles de Google Chrome ouvrent la porte aux attaques

La version 85.0.4183.121 de Google Chrome sur Windows, Mac et Linux corrige 10 vulnérabilités. Selon Google, on retrouve parmi les exploitations les plus graves, le fait qu’un attaquant pourrait exécuter du code arbitraire dans le contexte du navigateur. Les versions de Google Chrome antérieures à 85.0.4183.121 sont concernées par ces failles de sécurité.

Veille sur les vulnérabilités

CVE – 2020 – 1472 – Vulnérabilté dans Microsoft Netlogon

Score CVSS : 10.0 CRITICAL

L’exploitation de cette vulnérabilité peut entraîner une élévation de privilèges sur les contrôleurs de domaine ayant pour conséquence l’accès à l’ensemble des ressources gérées par les domaines Active Directory.

CVE – 2020 – 0922 – Vulnérabilité d’exécution de code a distance dans Microsoft COM pour Windows

Score CVSS : 8.8 HIGH

Il existe une vulnérabilité permettant l’exécution de code à distance quant à la manière dont Microsoft COM pour Windows traite les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur un système cible.

* Component Object Model (COM) est une technique de composants logiciels développée par Microsoft et DEC, Utilisée pour mettre en œuvre OLE et ActiveX, COM est dépassé depuis 2009 par le Framework .NET de Microsoft.

CVE – 2020 – 1380 – Vulnérabilité d’altération de mémoire dans le moteur de script

Score CVSS : 7.5 HIGH

Il existe une vulnérabilité permettant l’exécution de code à distance quant à la manière dont le moteur de script traite les objets en mémoire dans Internet Explorer. Cette vulnérabilité pourrait altérer la mémoire et permettre à un attaquant d’exécuter du code arbitraire dans le contexte de l’utilisateur actuel.

Cet article Revue de l’actualité par le CERT-W – Septembre 2020 est apparu en premier sur RiskInsight.

Veille sur la cybercriminalité

Le « Patch Tuesday » de Microsoft le plus conséquent depuis sa création

Microsoft a publié le 10/03/2020 des mises à jour afin de corriger pas moins de 115 failles de sécurité affectant ses différents systèmes d’exploitation Windows et logiciels associés. Parmi ces failles, 26 sont considérées comme « critiques », le niveau de sévérité le plus élevé, et l’exploitation de certaines d’entre elles permettent d’effectuer de l’exécution de code à distance et de prendre le contrôle d’ordinateurs vulnérables sans aucune action nécessaire de la part des utilisateurs.

Mukashi : la nouvelle variante du tristement célèbre botnet Mirai cible les NAS Zyxel

Le botnet Mukashi effectue des attaques de type brute-force sur des hôtes aléatoires en utilisant différentes combinaisons d’identifiants par défaut afin de tenter de s’y connecter et d’en prendre le contrôle. Or, il cible dorénavant les dispositifs de stockage en réseau (NAS) de Zyxel en exploitant la CVE critique récemment publiée « CVE-2020-9054 » permettant de réaliser de l’exécution de code à distance sur la version 5.21 du micrologiciel.

Le coronavirus : le leurre le plus utilisé de tous les temps

Durant la crise sanitaire due au COVID-19, le coronavirus devient le leurre le plus utilisé au sein d’innombrables attaques de type phishing. En effet, parmi celle-ci, le Internet Crime Complaint Center (IC3) du FBI indique qu’il peut s’agir de courriels prétendant offrir des informations sur le virus, des kits de test et des potentiels vaccins, ou encore ceux se faisant passer pour des associations caritatives encourageant à faire des dons pour la recherche.

Veille sur les vulnérabilités

CVE-2020-0684 – Vulnérabilité d’exécution de code à distance dans Microsoft Windows

Il existe une vulnérabilité d’exécution de code à distance dans Microsoft Windows lorsqu’un fichier de format .LNK est traité (analysé ou exécuté par exemple). Un attaquant qui exploiterait avec succès cette vulnérabilité pourrait obtenir les mêmes droits que l’utilisateur local.

CVE-2020-3947 – Vulnérabilité de déni de service dans VMware Workstation

Certaines versions de VMware Workstation et Fusion contiennent une vulnérabilité de type « use-after-free » dans le service vmnetdhcp. L’exploitation réussie de la vulnérabilité peut conduire à réaliser un déni de service du service vmnetdhcp s’exécutant sur la machine hôte ou encore exécuter du code sur l’hôte.

CVE-2020-10887 – Vulnérabilité de contournement du pare-feu d’un routeur TP-Link

Une version du micrologiciel du routeur TP-Link Archer est vulnérable à un contournement sur son pare-feu. Cette vulnérabilité découle d’une implémentation insuffisante de filtrage approprié des connexions SSH IPv6, au niveau de la gestion des connexions IPv6. Elle peut être exploitée sans authentification au préalable et permet d’effectuer une escalade de privilège avec la possibilité d’exécuter du code en tant que « root ».

Les indicateurs du mois

Top leak – Fuite d’informations de plus de 5 millions de clients chez Marriott

Les cybercriminels ont réussi à obtenir les identifiants de connexion de deux employés sur un logiciel tiers que les propriétés hôtelières du Marriott utilisent pour fournir des services aux clients. Ainsi, ils ont eu accès à de nombreuses informations sur les clients (noms, prénoms, adresses mails, numéros de téléphone, etc.). C’est la seconde grosse fuite constatée pour Marriott depuis 24 mois !

Top exploit – CVE-2020-0796 – Vulnérabilité d’exécution de code à distance dans le protocole SMB

Il existe une faille dans la manière dont le protocole Microsoft Server Message Block 3.1.1 (SMBv3) traite certaines requêtes, SMB étant un protocole réseau de partage de fichiers, d’imprimantes et d’autres ressources réseau. En effet, sans authentification au préalable, un attaquant exploitant cette vulnérabilité lui permettrait d’exécuter du code à distance non seulement côté serveur mais également côté client.

Top attack – Un des plus grands hôpitaux tchèques neutralisé par une cyberattaque

L’hôpital universitaire de Brno, en République tchèque, a été frappé par une cyberattaque majeure en plein milieu d’une épidémie de COVID-19 forçant l’hôpital à arrêter ses ordinateurs et à neutraliser son réseau informatique. Par conséquent, des interventions chirurgicales urgentes ont dû être reportées et des nouveaux patients en phase aigüe transférés vers d’autres hôpitaux.

Veille sur les versions des logiciels

Cet article Revue de l’actualité par le CERT-W – Mars 2020 est apparu en premier sur RiskInsight.

Veille sur la cybercriminalité

La mise à jour de Google Chrome lutte contre la cybercriminalité

Google Chrome version 80 prend désormais en charge AES-256 pour les données utilisateur stockées localement. Le changement a eu un impact sur la capacité d’AZORult à voler les informations des utilisateurs. AZORult est un malware de profil utilisateur qui est apparu en 2016 en volant de grandes quantités d’informations, y compris les mots de passe, l’historique de navigation Web, les cookies, etc.

Bouygues Construction, victime d’un autre ransomware

Bouygues Construction a été victime d’une attaque de ransomware. Détectée pour la première fois le 30 janvier, la société a annoncé l’attaque sur Twitter quelques jours seulement avant que le groupe MAZE ne se déclare être derrière l’attaque.

Internet Complain Center reporting (FBI IC3 report)

Le Federal Bureau of Investigation (FBI) a publié le Internet Complaint Center (IC3) signalant une augmentation de 1 300 plaintes par jour. Le rapport montre comment le Business email compromise (BEC) a coûté 1,7 milliard de dollars aux entreprises en 2019. Depuis que les entreprises ont mis en œuvre des campagnes de «volume spam», les attaques deviennent plus sophistiquées et ciblent des individus de grande valeur tels que les PDG et les employés de la finance.

Veille sur les vulnérabilités

CVE-2020-0688 – Vulnérabilité d’exécution de code à distance dans Microsoft Exchange

Il existe une vulnérabilité d’exécution de code à distance dans Microsoft Exchange lorsque le logiciel ne parvient pas à gérer correctement les objets en mémoire («Vulnérabilité de corruption de mémoire dans Microsoft Exchange»).

CVE-2019-15126 – Clé de chiffrement nulle pour chiffrer une partie de la communication de l’utilisateur

Un problème a été découvert sur les appareils clients Wi-Fi Broadcom. Plus précisément, un trafic chronométré et artisanal peut provoquer des erreurs internes (liées aux transitions d’état) dans un appareil WLAN qui conduisent à un chiffrement Wi-Fi de couche 2 inapproprié avec une possibilité conséquente de divulgation d’informations par voie aérienne pour un ensemble discret de trafic.

CVE-2020-0022 – Vulnérabilité Bluetooth critique dans Android

La pile Bluetooth Android permet aux attaquants de diffuser silencieusement des logiciels malveillants et de voler des données sur les téléphones à proximité en connaissant simplement l’adresse MAC Bluetooth de la cible. En conséquence, possibilité de déni de service (DoS), si l’appareil fonctionne sous Android 8.0, 8.1 ou 9.0, puis exécution de code à distance (RCE).

Les indicateurs du mois

Top leak : fuite de 123 millions d’enregistrements chez Decathlon

Une mauvaise configuration de la base de données a permis à une équipe de vpnMentor de révéler 123 millions d’enregistrements comprenant des informations sur les clients et les employés. Une base de données de plus de 9 Go a été trouvée sur un serveur Elasticsearch non sécurisé, exposant des informations provenant de Decathlon – Espagne.

Top exploit: CVE-2020-6418 – Faille de confusion dans V8, Google Chrome

Faille de confusion dans V8 (moteur JavaScript utilisé par Google Chrome) permettant l’exécution de code arbitraire dans le sandbox du navigateur.

Top attack: une cyberattaque paralyse les ventes de laine en Australie

Une attaque de type ransomware a touché plus de 75% de l’industrie de la laine en Australie. Le secrétaire du Comité national de vente aux enchères (NASC) a confirmé la compromission de Talman. Talman est le principal fournisseur de logiciels de l’industrie.

Cet article Revue de l’actualité par le CERT-W – Février 2020 est apparu en premier sur RiskInsight.